Раньше мы публиковали «22 главных недостатка приложения «Дія» от специалистов в областях IT и кибербезопасности и присылали запрос в Минцифру с просьбой объяснить каждый из пунктов документа. «Дія» дала развернутый ответ. Заместитель министра цифровой трансформации Алексей Выскуб разъяснил каждый случай. Вот почему, по его мнению, это фейк.
Его ответы не редактируются.
Раньше мы публиковали «22 главных недостатка приложения «Дія» от специалистов в областях IT и кибербезопасности и присылали запрос в Минцифру с просьбой объяснить каждый из пунктов документа. «Дія» дала развернутый ответ. Заместитель министра цифровой трансформации Алексей Выскуб разъяснил каждый случай. Вот почему, по его мнению, это фейк.
Его ответы не редактируются.
В приложении «Дія» нарушен один из базовых принципов в области удаленной (электронной) идентификации — разграничение инструментов идентификации по уровням доверия.
Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в «Дія» разрешено использовать BankID-программный инструмент с всего лишь средним уровнем доверия. Между тем неоднократно доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и является уязвимым для примитивных атак. В случае инцидентов с использованием BankID в кредитно-финансовой сфере возможные потери пользователей теоретически могут быть компенсированы за счет финансовых и банковских учреждений, которые поддерживают данный инструмент.
Вследствие использования BankID для идентификации пользователя «Дія» нарушен принцип разграничения уровней доверия. Инструменты с высоким уровнем доверия могут быть использованы для идентификации пользователей цифровых сервисов, требующих среднего и низкого уровней доверия. Инструменты среднего уровня доверия могут быть использованы для идентификации пользователей сервисов, для которых достаточно низкого уровня доверия. В «Дія» все сделано наоборот: инструментами среднего и низкого уровня доверия идентифицируют пользователей наиболее критичных сервисов, а именно цифровых документов, удостоверяющих личность.
Подобные ошибки представляют потенциальную угрозу для пользователей приложений и мобильных приложений, где нарушен вышеупомянутый принцип разграничения уровней доверия. При любых обстоятельствах электронный идентификационный документ — например, электронный паспорт для выезда за границу — должен быть защищенным исключительно средствами наивысшего уровня доверия, чего нельзя сказать о действующем приложение «Дія».
Содержание данного замечания не имеет вообще никакого отношения к архитектуре мобильного приложения, что уже вызывает массу вопросов «экспертности» этих замечаний и понимание авторами данной тематики в целом. Описанные в этом пункте замечания касаются использования средств электронной идентификации пользователей, а никак не архитектуры мобильного приложения. Поэтому формулировка такого названия пункта с замечанием является либо сознательной манипуляцией с целью нагнетания, либо непониманием базовых вопросов.
Что касается содержания пункта, то для начальной электронной идентификации пользователей в мобильном приложении «Дія», среди прочих, используется схема электронной идентификации BankID со средним уровнем доверия от Национального банка Украины. Такие схемы обычно используются для некритичных электронных сервисов, результаты которых не могут привести к приобретению, изменению или прекращению прав и/или осуществления обязанностей пользователя. Например, получение информации о себе из государственных реестров.
Очевидно, что после идентификации пользователю мобильного приложения «Дія» доступны сервисы, которые полностью соответствуют среднему уровню доверия, а именно: доступ к цифровому паспорта, цифрового удостоверения водителя, возможность заказать ковидний сертификат, получить информацию о штрафах, судебные заседания и тому подобное. Все эти сервисы фактически являются отображением пользователю данных о нем из различных государственных реестров и информационных систем. Наконец граждане получили возможность доступа к информации о себе.
Отдельно обращаем внимание, что цифровой паспорт отражает данные из демографического реестра соответствующего биометрического паспорта гражданину, а не является новым документом. Непосредственное использование цифрового паспорта в банках, на почте, в путешествиях и тому подобное, безусловно, является сервисом с более высоким уровнем риска, но это невозможно осуществить без владельца. Что касается «шеринга» — предоставления электронной копии цифрового паспорта, то такая процедура осуществляется с применением методов электронной идентификации с высоким уровнем доверия, основанных на криптографии.
То же самое относится и к другим более критическим электронным услугам в мобильном приложении «Дія», таким как изменение места жительства, назначение надлежащего пользователя и т. д., которые могут привести к приобретению, изменению или прекращению прав и/или осуществлению обязанностей пользователя. Все такие услуги доступны только с использованием «Дія.Підписа».
Поэтому очевидно, что содержание замечания или манипуляцию, или непониманием порядков предоставления услуг в мобильном приложении «Дія».
Несмотря на многочисленные заявления различных чиновников, «Дія» собирает, хранит и обрабатывает персональные данные. А именно регистрирует, накапливает, адаптирует, изменяет, возобновляет, использует и распространяет. Об этом прямо написано на сайте «Дія» и в разделе «Меню/сообщение об обработке персональных данных» мобильного приложения «Дія».
Цитата: «7. Персональные данные хранятся Министерством цифровой трансформации Украины в течение срока функционирования электронного кабинета субъекта персональных данных на Портале „Дія“, но не дольше 5 лет, если законодательством не определен иной срок их хранения.»
Портал «Дія» и мобильное приложение «Дія» являются частями одной системы, в которой происходит синхронизация имеющейся информации, а потому информация с портала также дублируется в мобильном приложении.
Также персональные данные передаются с одного устройства на второе во время проверки цифровых документов, что неоднократно публично демонстрировалось экспертами.
Ответ:
Обращаем внимание, что этот пункт, как и весь документ, касаются мобильного приложения «Дія». А в содержании к пункту приведена ссылка на сообщение об обработке персональных данных портала «Дія».
Очевидно, что и мобильное приложение и портал «Дія» обрабатывают персональные данные. Что касается мобильного приложения, то с первого дня мы четко коммуницируем о применении принципа data in transition. Это означает, что мобильное приложение не агрегирует и не накапливает персональные данные граждан из разных реестров, а лишь отображает каждому пользователю данные о нем. Соответствующие данные хранятся непосредственно на устройстве пользователя.
Следовательно, данный пункт является сознательной манипуляцией с искажением как заявлений Минцифры, так и норм юридических документов по вопросам защиты персональных данных.
Во время предоставления цифровых документов паспортные данные человека могут скрыто копироваться к телефону того, кто считывает, поэтому давать на считывание данных «Дія» можно только работникам полиции по униформе, при предъявлении служебного удостоверения или значка с номером. Эти же данные проходят через инфраструктуру Минцифры, но неизвестно каким образом они обрабатываются.
Для оценки неуклюжести этого замечания нужно «включить» критическое мышление и обычную логику. Ежедневно украинцы посещают тысячи различных организаций, получение услуг в которых предусматривает предъявление или предоставление копии паспорта, — спортивные, медицинские, почтовые, транспортные услуги и тому подобное. Все эти организации имеют право обрабатывать персональные данные клиентов при условии получения согласия. Соответственно работники этих организаций имеют доступ к персональным данным граждан, а на сами организации распространяются нормы Закона Украины «О защите персональных данных».
И вот возникает логичный вопрос: а зачем в этих организациях кому-то создавать очень сложное техническое решение для накопления скринов данных, которые очень сложно обрабатывать и использовать, если эти данные и так доступны в базах данных этих организаций?! Но если кто-то из работников таких организаций решит распространять эти данные или использовать не по назначению, то это уже другой вопрос — это преступление и нарушение требований закона.
Сейчас существует возможность удаленно открыть банковский счет с использованием приложения «Дія». Сейчас известно о по меньшей мере нескольких случаях несанкционированного входа злоумышленников в учетные записи жертв приложения «Дія» и с последующим совершением противоправных действий в отношении пострадавших с корыстной целью (оформить кредит на владельца телефона, купить товар в магазине в рассрочку, осуществить другие злоупотребления.)
Но сами возможности для мошенников существуют в случае похищения телефона. Таких случаев только по официальной статистике в среднем 4566 в месяц (Данные за 2021 год).
Благодаря появлению мобильного приложения «Дія» и функции шерингу цифрового паспорта в Украине введен передовые банковские сервисы с возможностью дистанционного открытия счетов в банках.
Сразу следует отметить, что дистанционное открытие счетов осуществляется, в частности, в соответствии с требованиями Постановления НБУ «Об утверждении Положения об осуществлении учреждениями финансового мониторинга». Действующим законодательством предусмотрена обязательная дополнительная фото / видео идентификация клиента на стороне банка, что делает невозможным открытие счета, даже при условии компрометации цифрового паспорта.
Вопреки утверждениям авторов, отметим, что на сегодня не существует ни одного подтвержденного факта получения незаконного кредита с использованием мобильного приложения. И это вообще невозможно в соответствии с требованиями действующего законодательства. Да, действительно на страницах авторов в Facebook распространялась откровенные фейки по взятию кредитов через мобильное приложение «Дія». Все эти фейки были быстро опровергнуты как представителями банков или микрокредитных финансовых учреждений, так и киберполицией.
Также обращаем внимание на статистику, приведенную авторами относительно 4,5 тыс. мошенничеств с кредитами в месяц (или 54 тыс. в год). На сегодня в действии 14 млн пользователей и ежедневно осуществляется примерно 40 тыс. шерингов цифровых документов. А теперь представим, что эти 5 или 6 фейковых кредитов от авторов действительно были. Это 0,00009% от всех мошеннических кредитов и 0,0000003% от всех шерингов в действии. Эти цифры говорят сами за себя.
Следовательно, можем констатировать умышленное распространение недостоверной информации о кредитах через «Дія» и умышленное поднятие информационного негативного шума авторами. А с какой целью?! Это вопрос к авторам фейков.
Зато отметим, что в «Дія» введен очень полезный сервис по информированию о запросе о кредитной истории, который в итоге может свести количество мошеннических действий с кредитами с 54 тыс. в год к нулю.
Минцифра в лице Государственного предприятия «Дія» (которое разрабатывает и поддерживает приложение «Дія» и цифровые документы), имеет техническую возможность следить за владельцами смартфона, на котором установлено приложение «Дія». Слежение может быть реализовано как в самом приложении «Дія», как отдельная функция, так и на стороне серверов, обслуживающих приложение и логирующих каждое действие пользователя, время и место использования любой функции приложения. Такое слежение, хранение логов активности и их обработка — ничем не регламентированы, а ГП «Дія», которое выпускает приложение, не проходит регулярные независимые проверки и постоянно от них отказывается, что не является подтверждением добрых намерений со стороны команды, которая разрабатывает и поддерживает функционирование приложении «Дія».
Независимые проверки — это проверки, которые проводят всемирно известные профессиональные компании, беспечивающие кибербезопасть, имеющие безупречную репутацию и никоим образом не связанные ни с разработчиками «Дія», ни с их политическими руководителями. Результаты таких проверок должны публиковаться с указанием, что именно и как именно проверялось.
Этот пункт также является абсолютным фейком. Для того, чтобы даже теоретически говорить о возможности слежки, мобильное приложение должно запрашивать у пользователей разрешение на определение местоположения.
Такое разрешение не запрашивается, а соответственно, даже теоретически, «Дія» не может накапливать место использования функции или «Дія» пользователя.
Также отмечаем, что государственным бюджетом предусмотрены средства на проведение международного аудита киберзащиты «Дія» в 2022 году.
Со стороны государства: в случае заинтересованности, производитель «Дія» может дистанционно установить на мобильный телефон пользователя «Дія» «обновление с дополнительными функциями», иными словами шпионскую версию «Дія». Таким образом, пользователь даже не будет иметь понятия о проведении негласных действий наблюдения, законность которых может быть поставлена под сомнение. Приложение «Дія» запрашивает наибольшие привилегии в мобильном телефоне, от камеры (микрофон в комплекте) до дискового хранилища, а следовательно, все необходимые права уже предоставлены и дополнительного запроса не будет. Со стороны третьих лиц: известны случаи, когда преступники получили полный контроль над смартфонами и всеми установленными в нем приложениями. Часто пользователи об этом даже не догадывались.
Пример: в 2021 году Служба безопасности Украины сообщила о задержании группы злоумышленников, которые специализировались на дистанционном взломе мобильных устройств и незаконном сборе персональных данных. Стоимость взлома одного смартфона стоила 200 долларов США.
«Хакнутый» третьими лицами мобильный телефон — это, безусловно, проблема в любом случае, но «хакнутый» телефон с «Дія» предоставляет третьим лицам значительно больше возможностей, чем просто «хакнутый» телефон.
Публикация каждой функции в «Дія» проходит соответствующую процедуру согласования как в Google, так и Apple. Специалисты этих организаций проверяют как техническую реализацию, так и юридическое основание реализации всех функций. Ведь это государственное приложение. Например, юридическая защита публикации ковидных сертификатов длилась почти месяц с привлечением топ международных юридических экспертов.
Доступ к камере запрашивается исключительно для прохождения электронной идентификации FaceID, и это обычно тщательно проверяется специалистами Google и Apple, как и наличие юридического основания.
Что касается доступа к хранилищу и микрофону, то такие разрешения в мобильном приложении не запрашиваются. И это является очередным фейком от авторов.
Поэтому такие заявления авторов свидетельствуют о реальном непонимании процессов создания и публикации государственных приложений и очередной сознательной манипуляции.
Что касается взлома телефона и получения доступа к «Дія», то в пункте 1 уже было указано, что такой доступ не может привести к получению услуг с высоким уровнем доверия.
Фактически возможность активировать аккаунт в приложении «Дія» существует у каждого гражданина Украины, который получил ID-карту или заграничный паспорт с биометрическим чипом (документы, содержащие цифровые фото).
При этом не имеет значения есть ли у гражданина намерение пользоваться своим аккаунтом (учетная запись) в «Дія» — такая возможность все равно существует, и ею может воспользоваться постороннее лицо без ведома легального пользователя. Сейчас этим пользуются мошенники для похищения кредитных средств, оформленных на людей, которые по разным причинам не активировали свою учетную запись.
Но в дальнейшем эту же возможность «угона» цифровой личности можно применить и для других юридически значимых действий без ведома лица: регистрации места жительства, вызова с суд, операций с недвижимостью, голосования на выборах и тому подобное.
То есть сейчас в распоряжении граждан отсутствуют какие-либо инструменты управления рисками, связанными с цифровыми документами:
Наличие указанных возможностей/инструментов (так называемая опция Opt-Out) могла бы встать на защиту прав гражданина в решении спорных ситуаций (пример получения кредита третьим лицом путем манипуляций и мошеннических действий или непосредственно через похищение терминала (смартфона) или слом компьютерной системы (компьютера), и тому подобное.
Эффективным решением проблемы несанкционированного использования аккаунта в «Дія» посторонними лицами могла бы стать его обязательная первая активация путем личного визита в ЦПАУ с бумажным/пластиковым паспортом и соответствующим заявлением. А также возможность аналогичным образом юридически «заморозить» любые операции в «Дія» путем личного визита в ЦПАУ с документами.
Также желательно введение механизма, каким бы блокировалась и фиксировалась (с последующей автоматической процедурой сообщения полиции) каждая попытка использования «Дія» от имени тех граждан, которые отказались от пользования указанным государственным сервисом.
Технически и организационно внедрение подобной защиты не является сложным вопросом, но почему-то такой возможности гражданам Украины не предлагается, несмотря на значительный социальный запрос и большие риски.
В пункте 1 было подробно описано, почему невозможны все перечисленные авторами действия. Ведь для предоставления критических сервисов предусматривается использование средства электронной идентификации с высоким уровнем доверия. Подпись, которая, среди прочего, включает биометрическую идентификацию пользователя.
Также в «Дія» реализована функция контроля за устройствами, которая позволяет управлять и мониторить доступ.
Непосредственно В. Зеленский и М. Федоров неоднократно озвучивали тезисы об их главной цели — голосовании на выборах через смартфон. Вероятно, имеется в виду использование для этого приложения «Дія».
Большой негативный опыт фальсификаций во время традиционных выборов свидетельствует о больших рисках. А реализация такой идеи содержит угрозу национальной безопасности и попытку свержения конституционного строя путем фальсификации избирательного процесса онлайн.
В общем, во время онлайн-выборов невозможно обеспечить секретность голосования, голосования без принуждения, и одновременно провести прозрачный пересчет голосов.
Ни одна страна мира (кроме Эстонии) пока не решилась провести онлайн- выборы.
В апреле 2020 более 80 руководителей и ведущих сотрудников научно-исследовательских организаций США, работники научных учреждений и ведущих экспертов, в том числе такие всемирно известные эксперты, как Брюс Шнаер и Мартин Хеллман, обратились с открытым письмом к госсекретарям штатов и руководителям избирательных комиссий США с требованием «воздержаться от разрешения использовать любые системы Интернет-голосования».
В Эстонии голосуют онлайн около 45% избирателей, но эта страна строила собственную модель онлайн-голосования около 20 лет под тщательным контролем общественности, местных политических партий и представителей Европейского Союза. За это время в системе онлайн-голосования было обнаружено много критических уязвимостей, она постоянно дорабатывается лучшими специалистами, но сейчас этот метод голосования работает на принципах, кардинально отличных от приложения «Дія», а также на основе невероятно высокого доверия граждан к власти.
На сегодня в Украине не существует законодательных актов, которые описывают процедуру реализации интернет-голосования, в т. ч. через мобильное приложение «Дія». Поэтому обсуждение гипотетических сценариев не имеет смысла.
Лишь отметим, что помимо Эстонии интернет-голосование проводится в Австралии и Швейцарии. Также существует несколько общеизвестных технических решений в мире, которые успешно реализуют как секретность голосования через технологию «двойного конверта», так и голосование без принуждения благодаря возможности изменить голос.
Риск стать жертвой сомнительных и противоправных действий со стороны государства или третьих лиц за внедрение и легитимизацию «гарантированного автоматического уведомления граждан о «предупреждении», «вызов», «вызов в суд» и подобные действия. Это также неоднократно озвученная цель Минцифры, которая может быть реализована и добавит гражданам проблем. Представим ситуацию, когда по каким-то причинам гражданин не пользуется, или больше не пользуется приложением «Дія», на которое приходит уведомление о вызове в суд по иску относительно собственности гражданина. Юридически отправленное такое сообщение является признаком фактического сообщения. Следовательно, неявка гражданина в суде или несвоевременное представление запроса о переносе судебного заседания по любой причине дает возможность (государству, мошенникам, «черным регистраторам» и т. п.) манипуляций в судебном процессе не в пользу гражданина.
Да, действительно, государство Украина сегодня использует значительные бюджетные ресурсы на юридическое значимое оповещение граждан о различных важных действиях, в частности, вызов в суд.
Реализация гарантированного электронного сообщения возможна только при условии предоставления сознательного подтверждения от пользователя.
Уверены, что если гражданин не скрывается от суда или военкомата, то он максимально заинтересован в получении таких сообщений как можно скорее и доступнее.
Согласно заявлениям разработчиков приложения «Дія», приложение не хранит электронные документы граждан, при этом изображения с данными документа — хранятся в смартфоне.
Но легитимность их отображения в смартфоне пользователя возможно проверить только при наличии доступа к сети Интернет. Недавние события в Казахстане (когда во время протестов власти отключала доступ к Интернету) показали, что похожая ситуация вполне может произойти при определенных условиях и в Украине. В случае длительного отсутствия доступа к Интернету, документы в «Дія» станут лишь нелегитимными картинками в смартфоне. Аналогичная ситуация актуальна в некоторых районах Украины, где сейчас отсутствует или нестабильный доступ к интернет.
При таких условиях возникает необходимость всегда носить с собой бумажные или пластиковые документы, что ставит под сомнение целесообразность установки и использования приложения.
«Дія» является централизованной системой (частью которой является мобильных приложение «Дія»), и в случае отказа одного из элементов останавливается вся система. Мы уже были свидетелями многочисленных отказов в обслуживании сервисов «Дія». Следовательно на работоспособность такого важного приложения можно легко повлиять через локальное (глушилки), или глобальное отключение доступа к Интернету для пользователей.
Легитимность электронных документов не должна никоим образом зависеть от наличия или отсутствия доступа к Интернету, е-документы должны быть самодостаточными.
По утверждениям авторов «в случае длительного отсутствия доступа к Интернет» и «недавние события в Казахстане, то в таком случае будет приостановлено предоставление государственных услуг в целом, в т. ч. через ЦПАУ, которые также работают с государственными реестрами через сеть Интернет. Такие события, как и отключение электроэнергии, имеют статус чрезвычайных и влияют на все аспекты жизни граждан, а не только на сервисы «Дія».
Очевидно, что доступность электронных сервисов ограничена доступностью Интернета и цифровыми навыками. И эти две задачи есть среди базовых целей Минцифры.
В течение последних 2-х лет благодаря активной деятельности Минцифры значительно ускорились темпы покрытия территории Украины скоростным мобильным интернет 4G. Доступ к такой технологии впервые получили более 3,2 млн украинцев в 9,6 тыс. населенных пунктов, а различные цифровые курсы прошли более 1 млн граждан.
ООН определило Интернет базовым правом граждан.
Для использования «Дія» необходим современный смартфон, но не все граждане Украины имеют возможность его приобрести. Это является реальной проблемой из-за принудительного ограничения предоставления определенных функций исключительно через приложение (например, сертификатов о вакцинации).
Также не везде в стране есть доступ к сети Интернет.
Некоторым людям (особенно старшего возраста) трудно вводить пин-коды, поэтому для них их родственники или все пин-коды снимают, или ставят коды типа 1111. Действие с простым пин-кодом — это очень опасно. Разработчики не имеют возможности контролировать, насколько эффективно пользователь защитил свой смартфон, и полагаются на высокий уровень осведомленности о правилах персональной кибербезопасности владельца/пользователя смартфона.
Надлежащее пользование цифровыми документами, удостоверяющими личность, предполагает наличие многих навыков, которые совсем не очевидны для многих граждан, особенно старших возрастных категорий. Минцифры не предлагает ни официального руководства для пользователей, ни официальных рекомендаций, которые содержали бы исчерпывающие руководящие указания для всех без исключения критических аспектов пользования цифровыми паспортами и приложением «Дія».
Модель предоставления государственных электронных услуг в формате приложения «Дія» либо искусственно лишает таких граждан возможностей получать государственные цифровые услуги, либо подвергает их рискам, для управления которыми не предлагает надлежащих инструментов.
Как было уже указано в пунктов 10, электронные услуги имеют определенные ограничения, и это очевидно. Как и предыдущие, это замечание не к «Дія», а к интернет-услугам в целом. Вместе с тем, ежегодно в Украине уровни проникновения смартфонов, цифровой грамотности и скоростного интернета стремительно растут.
Электронные услуги являются более современной и эффективной альтернативой офлайновым. Очевидно, что большинство пожилых людей будут использовать офлайновые документы еще долго, как и посещать ЦПАУ. Это их право. И мы ежедневно работаем над расширением сети ЦПАУ, их стандартизацией и улучшением качества офлайн-услуг.
Вместе с тем, цифровые технологии открывают много новых преимуществ для граждан. И мы стремимся обеспечить равные цифровые права. Так, в этом году заработает большая президентская программа еСмартфон, которая имеет целью обеспечить пожилых людей смартфонами и предоставить соответствующие базовые цифровые навыки.
Сосредоточение больших прав у администраторов «Дія» и отсутствие системы мониторинга и предохранителей их работы приводит к появлению огромного соблазна для таких администраторов, которые могут за определенное поощрение, или под принуждением собрать информацию об определенных аспектах жизни граждан и передать эту информацию в интересах третьих лиц, или предоставить собственный административный доступ третьим лицам.
Беспокойство вызывает также возможная чрезмерная агрегация полномочий.
Инциденты последнего времени, такие как, например, уязвимость Log4Shell, и более известные виды атак (например SQL Injection) могут также быть использованы с уровня «Дія» администраторов и привести к повреждению или иного воздействия на реестры персональных данных граждан. Например, существует вероятность существования возможности создания запроса до любого подключенного реестра, который внесет изменения или даже приведет к потере данных или даже их уничтожению, поскольку выполнен он будет с правами администраторов «Дія».
По результатам взлома большого количества государственных сайтов скомпрометированными оказались не только базы данных и программный код портала «Дія», а еще и частные ключи SSL сертификатов к доменам государственных сайтов. Это те же сертификаты, которые защищают ваше соединение с сайтом. Но даже после возобновления работы этих ресурсов в течение десяти дней никто не побеспокоился перевыпустить SSL сертификаты. Такая поразительная некомпетентность ставит под риск дальнейшей утечки особо чувствительных аутентификационных данных пользователей (логинов и паролей).
Описание этого пункта свидетельствует об абсолютном непонимании авторами правил работы государственных реестров. Утверждение о доступе администраторов к государственным реестрам является настолько некомпетентным, что ставит под сомнение вообще любой намек на экспертное восприятие этого документа.
Внесение данных в базовые государственные реестры происходит соответствующими должностными лицами с обязательными применением квалифицированной электронной подписи. То есть регистраторы имущественных прав регистрируют право собственности граждан, работники миграционной службы делают соответствующие записи о паспортах и так далее. Такие права и перечень лиц очень жестко регламентирован каждым органом, и, конечно, никакие администраторы «Дія» не могут иметь такой доступ даже теоретически.
Электронное взаимодействие «Дія» с реестрами происходит через систему «Трембита» с соблюдением единых стандартов и протоколов, правил шифрования и авторизации и т. д. и не предусматривает вообще как такового доступа к реестрам, а только в соответствующих сервисах «Трембиты», которые отрабатывают стандартные процедуры запроса данных конкретного гражданина с последующим отражением этих данных в «Дія». Без каких-либо прав на доступ, запись, модификацию.
Следовательно, этот пункт является результатом полной некомпетентности авторов.
Минцифры предусматривает возложение значительного количества рисков использования приложения «Дія» на его пользователей. В смартфоне пользователя хранятся все его е-документы, удостоверяющие личность, которые согласно Закону Украины приравнены к бумажным/пластиковым.
При этом нигде не определяются надлежащим образом правила пользования приложением, требования к безопасному доступу к нему, правила кибер-гигиены при пользовании смартфоном, потенциальные риски компрометации и тому подобное.
Правила использования приложения и цифровых документов не отличаются от общих правил обращения со смартфоном и бумажными документами соответственно.
Вы же не будете свой смартфон или паспорт давать незнакомцу? А называть ему пин-код от телефона или мобильного банкинга? А диктовать номер и код банковской карты? Опять же, обращаем внимание, что использование паспорта без владельца невозможно!
Подытоживая опыт пользования и фидбек 14 млн пользователей за 2 года, можно уверенно сказать, что указанный пункт является надуманным.
Для функционирования приложения «Дія» почти отсутствует законодательное регулирование.
Формально электронные документы приравнены к официальным нечеткими фразами в Законе Украины «О внесении изменений в Закон Украины «О Едином государственном демографическом реестре и документах, которые подтверждают гражданство Украины, удостоверяют личность или ее специальный статус»:
«е-паспорт — паспорт гражданина Украины в форме электронного отображения информации, что содержится в паспорте гражданина Украины».
Но ни в одном законе Украины не определены технические и технологические параметры таких е-документов. Требования к процессу разработки приложения и его эксплуатации, приемлемые технологии и их согласованность, возможности независимого (в том числе общественного) контроля этих процессов, привязка к существующим международным стандартам и многое другое.
Также законодательно не определены требования к безопасности «Дія»: допустимые подходы и практики, стадии контроля и тестирования, критерии оценки общей безопасности, количество и периодичность независимых оценок защищенности и др.
На практике, разработка и модернизация приложения «Дія» происходит согласно внутренних документов Минцифры, публичный доступ к которым либо не предоставляется, либо ограничен грифом секретности «для служебного пользования».
Также следует отметить, что создание программных продуктов по заказу государственных органов регулируется Постановлением 869 «Об утверждении общих требований к программным продуктам, которые закупаются и создаются по заказу государственных органов» от 12 августа 2009 г. Но в случае разработки приложения «Дія» большинство из данных требований просто проигнорировано.
Законодательная неопределенность уже стала основанием для уголовного преследования нескольких граждан, которые создавали приложения, визуально похожие на приложение «Дія», но не совершили никаких вмешательств в ИТ инфраструктуру государства. И хоть их деятельность сомнительна по этическим вопросам, с точки зрения закона они не совершили преступление. Фактически Минцифры своими действиями спровоцировали появление такой активности.
Описание пункта опять совершенно не соответствует действительности. Базовые нормы функционирования мобильного приложения «Дія» определены Законом Украины «Об административных услугах» и Постановлением КМУ «Вопросы Единого государственного веб-портала электронных услуг и Реестра административных услуг».
Что касается требований к защите, то «Дія», как и любая другая государственная информационная система, подпадает под действие Закона Украины «О защите информации в информационно-коммуникационных системах» и кучу подзаконных нормативно-правовых актов. Все эти нормы и требования четко выполняются.
Каждая функция и сервис в «Дія» четко регламентированы специальными законами, постановлениями и приказами, которых десятки и они доступны публично.
Например, постановление КМУ «О реализации экспериментального проекта по использованию удаленной квалифицированной электронной подписи " («Дія.Підпис») или «Об утверждении Порядка проведения опроса относительно инициатив, направленных на решение вопросов государственного управления в различных сферах общественной жизни, на Едином государственном веб-портале электронных услуг», и так по каждой функции/сервиса.
Что касается примера авторов о цифровом паспорте, то опять же Постановление КМУ «Об утверждении Порядка формирования и проверки е-паспорта и е-паспорта для выезда за границу, их электронных копий» четко регулирует все порядки и процедуры использования такого документа.
Относительно указанного кейса с «подделкой» «Дія», то киберполицией четко определены соответствующие статьи в зависимости от типа правонарушения.
Пользоваться «Дія» граждан Украины принуждают, не оставляя им альтернатив.
Так сертификаты вакцинации долгое время можно было получить исключительно через приложение «Дія», хотя альтернативное техническое решение было готово к запуску за несколько месяцев до запуска такого решения в «Дія».
Заявления на получение 8000 грн. компенсации для ФЛП в связи с карантинными ограничительными мерами и «ковидной» 1000 грн. — также можно было сделать только через «Дія».
Таким образом создается искусственная монополия, цель которой — привлечь к использованию «Дія» как можно больше пользователей.
Утверждение «Сертификаты вакцинации долгое время можно было получить исключительно через приложение „Дія“», конечно, вызывает удивление и улыбку. Мы в рекордные сроки разработали цифровой ковидный сертификат (именно благодаря существованию «Дія») и прошли аудит ЕС, а Украина первой среди третьих стран присоединилась к доверительной сети ЕС.
20 августа 2021 году цифровые сертификаты стали доступны для украинцев в мобильном приложении, а за месяц такой сервис стал доступен и на портале. Также обращаем внимание, что цифровой кивидный сертификат является требованием ЕС. В Украине для внутреннего пользования с первого дня действовало бумажное свидетельство об иммунизации.
Относительно «заявления на получение 8000 грн. компенсации для ФЛП», то, во-первых, такой сервис работал и на портале «Дія» без необходимости применения КЭП, а, во-вторых, более 90% ФЛП подают отчетность онлайн.
Что касается программы, то она будет действовать год, и инструменты будут постоянно расширяться. За первый месяц программой воспользовалось более 8 млн украинцев. Это абсолютно уникальный показатель, свидетельствующий о доступности и удобстве услуги.
Нужно понимать, что запуск таких программ благодаря «Дія» происходил за несколько недель, а развертывание таких программ офлайн и еще в пандемию, когда желательно ограничить личные контакты, особенно для пожилых людей, занимал бы слишком много времени и нуждался бы в безумных финансовых ресурсах на организацию сети.
На электронном продукте — приложении «Дія» — отсутствует документация: инструкция пользователя, общее и техническое описание приложения, описание его структуры и функций, модели функционирования, примененных технологий, инфраструктуры, схемы каналов передачи данных, правил пользования приложением, гарантийные обязательств производителя, соответствие требованиям по защите персональных данных и тому подобное.
Несмотря на многочисленные попытки специалистов и журналистов получить эти документы от Минцифры, подобные запросы либо игнорируются, либо предоставляются заведомо поврежденные данные без возможности их воспроизведения. Зафиксирован случай заявления министерства, что якобы эта информация является информацией с ограниченным доступом с грифом ДСК, хотя продукт является публичным и свободно распространяется.
На приложение «Дія» имеется вся документация, которая предусмотрена действующим законодательством Украины. И соответствующие органы и экспертные организации получали доступ к такой документации в пределах полномочий.
Техническая документация на комплексные системы защиты информации информационно-телекоммуникационных систем Единого государственного портала электронных услуг (портал «Дія») и мобильного приложения Единого государственного портала электронных услуг отнесена к документам, содержащим информацию с ограниченным доступом (служебная информация).
Разработчики приложения «Дія» не публикуют исходный код своего продукта.
Согласно существующим международным практикам, исходный код публикуют, прежде всего, для подтверждения отсутствия скрытых программных функций продукта.
Такими функциями могут быть следующие: функция отслеживания пользователя, сбор данных о его модели смартфона, операционная система, день, время и геолокация, пользование определенными функциями приложения, взаимодействие с другими программами и приложениями, использование мессенджеров, посещение определенных интернет-страниц, произвольное считывание информации из файловой системы и подобные скрытые функции.
Также исходный код мог бы засвидетельствовать наличие или отсутствие возможности загружать обновления, которые бы содержали функции слежения за пользователями.
Возможность реализации перечисленных скрытых функций является фантазией авторов, что свидетельствует о полном непонимании правил проверки и публикаций Google и Apple государственного приложении. Еще раз напоминаем, что каждая функция проверяется как технически, так и юридически!
А при условии, что мы не берем разрешение у пользователя ни на местонахождение, ни на доступ к хранилищам и тому подобное, это невозможно даже теоретически!
Вместе с тем, понимая важность открытия исходного кода для обеспечения прозрачности, Минцифра на 2022 год запланировала соответствующие финансовые и организационные ресурсы.
Разработчики приложения «Дія» скрывают сведения о независимом внешнем аудите (оценке) безопасности своего продукта.
В соответствии с существующими международными практиками, тестировать продукт должны специалисты, которые не имели и не имеют отношения к его разработке, чем исключается возможный конфликт интересов.
Чтобы убедить пользователей приложения в надежности его безопасности, обычно публикуется общеописательная часть подобного независимого отчета, где указывается, кто именно проводил тестирование (название компании, фамилии исполнителей), когда проводилось тестирование на безопасность, какими инструментами и согласно каких методологий. Как правило, максимально беспристрастными и профессиональными могут считаться известные международные компании с безупречной репутацией и высоким уровнем доверия в профессиональной среде.
Непредоставление подобных отчетов может свидетельствовать об отсутствии проведения тестирований (оценок) безопасности приложения «Дія» или же несоблюдении требований к исполнителям относительно их независимости и профессионализма, или о негативных выводах и большом количестве критических замечаний.
Во-первых, проведение аудитов кибербезопасности или даже багбаунти в Украине вообще было вне закона. Минцифра впервые урегулировала эти вопросы в соответствующем экспериментальном постановлении КМУ для возможности проведения таких действий в принципе.
Во-вторых, Минцифра провела уже две программы багбаунти, которые не нашли никакой критической уязвимости.
В-третьих, сейчас мы инициируем изменения в Уголовный кодекс (статья 361) по-поводу несанкционированного доступа для возможности широкого применения современных подходов к тестированию и аудиту государственных систем этическими хакерами.
В-четвертых, с целью недопущения бюджетных нарушений и проведения дополнительных аудитов безопасности «Дія» Минцифра за средства и при поддержке международных проектов технической помощи от USAID и ЕС провели два независимых аудита известными украинскими компаниями GroupFS и ISSP. Эти аудиты также не обнаружили критических уязвимостей.
Любой государственный информационный ресурс, которым бесспорно является приложение «Дія», должен пройти государственную экспертизу и получить положительное экспертное заключение по созданию и реализации Комплексной системы защиты информации (КСЗИ).
Министр Федоров неоднократно вводил в заблуждение общественность относительно существования такого заключения на КСЗИ, а на запросы граждан о получении его копии — предоставлялись заведомо нечитабельные документы.
Несмотря на наличие очевидного конфликта интересов (заключение на КСЗИ подписывает председатель Госспецсвязи, которого назначает Кабинет министров Украины в лице курирующего вице-премьер министра Федорова) и ожидаемой необъективности государственной экспертизы, Минцифры продолжает скрывать аттестат соответствия КСЗИ. В настоящее время он недоступен для общественности, хотя не является и не может быть документом с ограниченным доступом.
Описание этого пункта окончательно ставит точку в неэкспертности авторов.
Во-первых, аттестат соответствия КСЗИ является публичным, и его элементарно получить поисковым запросом в Google. Учитывая утверждения авторов «Минцифры продолжает скрывать аттестат соответствия КСЗИ», обращаемся к журналистам с просьбой оказать цифровую помощь авторам в поиске этого документа через Google. «Дія» получило 2 аттестата, и все они публично доступны. Поэтому обвинение министра во лжи является очередной… ложью авторов.
Во-вторых, аттестат соответствия подписывает не Председатель ДССЗЗИ, а экспертная организация — лицензиат, осуществивший экспертизу. Фууух. Еще много пунктов-фейков?!
Техническая поддержка приложения «Дія» находится на низком уровне: с ней трудно контактировать, а жалобы пользователей и большинства случаев остаются без должного внимания.
При этом средняя зарплата в Государственном предприятии «Дія», которое и разработала одноименный продукт, составляет 47 211 грн. Это примерно соответствует среднему уровню зарплат в коммерческих ИТ-компаниях.
Если речь идет об этих замечаниях, то они действительно являются совокупностью некомпетентности и манипуляции, что может свидетельствовать об их заказном характере.
Из пункта так и не понятно, кто с кем не общается?! Потому что служба поддержки и разработчики — это очень разные команды, но авторам, похоже, это неизвестно.
Традиционно государство не разрешает существование даже одной копии бумажного/пластикового документа, удостоверяющего личность, в первую очередь паспорта. Причем подделка документов относится к серьезным уголовным преступлениям (статья 358. Подделка документов, печатей, штампов и бланков, сбыт или использование поддельных документов, печатей, штампов).
Зато в случае цифровых паспортов государство разрешает одновременное сосуществование идентичных экземпляров на разных устройствах, то есть их копирование/клонирование.
По этому поводу у специалистов возникают вопросы: какими причинами вызваны столь противоположные подходы?
Сколько экземпляров е-паспорта могут существовать одновременно: пять, десять, сто, тысяча?
Где именно зафиксирована норма о количестве экземпляров, в каком именно документе Минцифры?
Почему в случае е-документов отказались от принципа личного присутствия, как это сделано, например в Эстонии, на которую регулярно ссылается Минцифра? Традиционные бумажные документы выдаются исключительно при личном присутствии человека, чью личность удостоверяют. Это позволяет реализовать ответственность должностного лица, которые эти документы выдает.
Предусмотрена ли персональная ответственность работников разработчика в случае завладения чужим е-паспортом?
Приведем базовый общемировой принцип электронных документов, который изложен, в т. ч., в Законе Украины «Электронные документы и электронный документооборот»:
«В случае отправки электронного документа нескольким адресатам или его хранения на нескольких электронных носителях информации каждый из электронных экземпляров считается оригиналом электронного документа».
Много граждан имеют не одно устройство — телефон + смартфон или несколько смартфонов, и соответственно, они имеют возможность на каждом из устройств пройти электронную идентификацию и получить доступ к функциям и сервисам «Дія». Это точно нельзя назвать клонированием.
И главное, что следует понимать, — использование что бумажного, что пластикового, что цифрового паспорта невозможно без владельца!!!
«Дія» — 2 года: 14 млн украинцев, более 9,4 млн цифровых загранпаспортов, более 3,4 млн цифровых внутренних паспортов, более 1,5 года успешного эксперимента с цифровыми паспортами на уровне постановления и последующей легализацией на уровне Закона, 40 тыс. шерингов паспортов ежедневно против 5 или 6 фейков от авторов — этого достаточно для уверенного утверждения о безопасность и надежность «Дія» и цифровых документов.
Минцифра запретила использование цифровых паспортов МФО (микро-кредитные организации) из-за единственного задокументированного случая злоупотребления. При этом никаким регуляторным актом не определено: при каких условиях этот запрет будет отменен и каковы в целом критерии его применения в других случаях (например, почтовыми компаниями).
Интеграция организаций с «Дія» происходит в рамках конкретно действующего законодательства по соответствующему сервису и на основании договорных условий.
В случае нарушения условий договора и соответствующего законодательства ГП «Дія» как администратор системы имеет право отключать такую организацию.
Также обращаем внимание, что авторы далеко не полностью осветили возможные угрозы для «Дія». Мы не нашли в списке падения кометы, инопланетное вторжение, захват роботами и многие другие прямые угрозы существования «Дія»).
